近日,市委网信办工作中发现金蝶云星空存在多个高危漏洞,已有企业被攻击案例,鉴于该产品用量较多,建议尽快做好自查及加固防护。
1.1漏洞描述
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。
金蝶云星空命令执行漏洞,数据通信过程中未对数据进行签名或校验,导致客户端发出的数据可被攻击者恶意篡改,写入包含恶意代码的序列化数据,达到在服务端远程命令执行的效果。
金蝶云星空任意文件上传漏洞,攻击者可在未授权的情况下利用此漏洞构造特制的请求包上传恶意的Webshell⽂件,从⽽进⾏任意代码执⾏,控制服务器。
1.2漏洞等级
高危
二、修复建议
2.1受影响版本
金蝶云星空命令执行漏洞:
V8.0[8.0.0.202202]至[8.1.0.20230608],V7.5.1至V7.7
金蝶云星空任意文件上传漏洞:
V6.2(含17年12月补丁)至 V8.1(含23年9月补丁)
2.2修复建议
目前官方已发布漏洞修复程序,请前往以下地址下载:
1.https://vip.kingdee.com/article/388994085484889344?lang=zh-CN&productLineId=1&isKnowledge=2
2.https://vip.kingdee.com/article/505394681531036160?productLineId=1&isKnowledge=2&lang=zh-CN
